정보보안 관리체계 구축 및 운영
ISO 27001 표준은 위험 평가와 위험 처리 계획 수립을 기반으로 하며, 통제 목표를 충족하기 위한 통제를 구현하고, 필요한 교육을 제공하고, 보안 인식 프로그램을 실시하고, 보안 사고를 신속하게 탐지하고 대응할 수 있도록 정책, 절차 및 기타 통제를 구현하는 데 필요한 자원을 제공합니다.
자원
위험을 처리하고 새로운 통제를 구축하기 위해 시간, 비용, 장비, 노력 측면에서 추가 리소스가 필요한 경우, 적절한 위험 처리 계획을 작성하여 관리 승인 및 구현을 위해 준비해야 합니다. ISO 27001 표준 정보 보안 시스템 및 모든 보안 통제의 운영에 적절한 리소스를 할당해야 합니다. 여기에는 구현된 모든 통제의 문서화와 ISMS 문서의 적극적인 유지 관리가 포함됩니다.
위험 치료
위험을 줄이기로 결정한 경우, 선택된 통제를 구현해야 합니다. 이는 위험 처리 계획과 일치해야 합니다. 계획을 성공적으로 구현하려면 선택한 방법을 지정하고, 조치에 대한 책임과 개별 책임을 할당하고, 지정된 기준에 따라 모니터링하는 효과적인 관리 시스템이 필요합니다. 경영진이 허용 수준보다 높은 위험을 수용하기로 결정한 경우, 경영진의 승인을 받아야 합니다. 허용할 수 없는 위험이 감소하거나 이전된 후에도 유지되는 잔여 위험이 있을 수 있습니다. 바람직하지 않은 영향이나 위반이 즉시 식별되고 적절하게 관리되도록 통제를 마련해야 합니다.
보안 인식 및 교육
인식 프로그램의 목적은 잘 확립된 위험 관리 및 보안 문화를 만드는 것입니다. 가능한 보안 침해, 실패 및 그에 따른 피해를 최소화/방지하기 위해 관련된 경우 제3자 사용자를 포함한 모든 사용자는 보안 요구 사항 및 정보 처리 시설의 적절한 사용(예: 로그인 절차, 인터넷 사용, 소프트웨어 패키지 등)에 대한 교육을 받아야 합니다. 여기에는 데이터 보호법, IT법 2000 및 비즈니스 통제에 따른 요구 사항, 보안 사고/오작동 및 보고에 대한 대응, 억제력으로 작용할 수 있는 징계 절차와 같은 법적 책임도 포함되어야 합니다. 이상적으로는 보안 통제 구현과 병행되어야 합니다.